Некоторое время назад консультативная группа по кибербезопасности США, созданная по поручению администрации президента, начала расследование в отношении компании Microsoft после того, как китайской хакерской группировке Storm-0558 удалось взломать почтовые ящики Microsoft, принадлежащие двум десяткам государственных учреждений. Группа намерена выяснить причастность Microsoft к этому делу, при этом высказываются предположения, что в этой истории может быть что-то еще, и компания не слишком прозрачна в этом вопросе.
Хотя Microsoft удалось устранить проблему, она не предоставила подробного отчета о том, как произошел инцидент и как злоумышленники смогли получить доступ к учетным данным.
Согласно новому отчету BleepingComputer, Microsoft сообщила, что Storm-0558 получил доступ к учетным данным чиновников, украв ключ подписи из аварийного дампа Windows после взлома корпоративной учетной записи инженера Microsoft.
Хакеры использовали ключ для взлома учетных записей Exchange Online и Azure Active Directory, принадлежащих нескольким организациям. В числе пострадавших от взлома оказались американские государственные учреждения, в том числе Государственный департамент и Министерство торговли США. Это вызвало ряд вопросов, в том числе со стороны сенатора Рона Уайдена, который 27 июля написал письмо с просьбой к Совету по проверке кибербезопасности провести расследование.
По словам Шира Тамари (Shir Tamari), исследователя безопасности из компании Wiz, взлом китайскими хакерами распространился не только на Exchange Online и Outlook. Исследователь отметил, что в результате взлома злоумышленники получили доступ к облачным сервисам Microsoft.
Доступ к этим сервисам означает, что злоумышленники могут использовать ключ для выдачи себя практически за все облачные платформы Microsoft, включая Outlook, SharePoint, OneDrive и Teams. Не забыты и приложения, поддерживающие аутентификацию Microsoft Account.
Однако компания Microsoft опровергла утверждения о том, что ключ может быть использован во всех приложениях. Это, в свою очередь, побудило компанию отозвать все действующие ключи подписи MSA, чтобы пресечь попытки злоумышленников получить доступ к другим скомпрометированным ключам. Аналогичным образом была заблокирована генерация новых токенов доступа. Наконец, компания перенесла недавно сгенерированные ключи доступа в хранилище ключей, используемое в корпоративных системах.
Технический директор и соучредитель компании Wiz Ами Люттвак (Ami Luttwak)во время разговора с BleepingComputer поделился следующими соображениями:
Все в мире Microsoft использует для доступа токены Azure Active Directory auth. Злоумышленник с ключом подписи AAD – это самый мощный злоумышленник, которого только можно себе представить, поскольку он может получить доступ практически к любому приложению – под видом любого пользователя.
Генеральный директор Tenable Амит Йоран, неоднократно выступал против компании Microsoft, ссылаясь на ее недостаточную прозрачность в отношении брешей и методов обеспечения безопасности.